Lec e No e in Info ma ic (LNI), Ge ell chaf fÈ Info ma ik, Bonn 15
We k e ge Me ng de da en ch konfo men Einhal ng de Ve a bei ng ando in de Clo d
Be nd JÈage1Reine K af Annika Sel e Ul ich Waldmann4
Ab ac :A oma i ie n ba e Da enq ellen Be imm ng de ak ellen Ve a bei ng and- o kÈonnen Ben e eine Clo d-Dien e da in n e È en, ih e Kon ollp¯ich nach kommen nd da Ve a en in eine da en ch konfo me Ve a bei ng ih e Da en Èa ken. Da kÈonnen S ando me iken de®nie e den, fÈ die geeigne e Da enq ellen gef nden nd inn oll kombinie
e den mÈ en, m ich dem komple en Da en ch iel ie dem lÈa igen Ve a bei ng o an- nÈahe n. Die e A a bei ng be ch eib die Vo gehen ei e nd p o o pi che Um e ng eine olchen S ando me ik. Jede a ge Èahl e Me q elle bie e alle ding n Indi ien, mi denen ich be enfall die Z e lÈa igkei eine Ge am a age e hÈohen lÈa . Mi Hilfe eine P o o p ollen a agek Èaf ige nd e lÈa ige Da enq ellen nd Indika o en fÈ die S ando me ik iden i® ie
e den.
Ke o d :A oma i ie e Kon olle, Da en ch , Me q ellen, Me ik, Ve a bei ng ando .
1 He a fo de ng nd Ziel
FÈ Un e nehmen, die pe onenbe ogene Info ma ionen K nden, Mi a bei e n ode an- de en Pe onen in de Clo d e a bei en la en ollen, i eh ich ig, da die e Da en do hin eichend ge chÈ ind.5Ein G nd hie fÈ i , da die Un e nehmen al Clo d- N e fÈ die in ih em A f ag in de Clo d e a bei e en Da en im Rahmen de oge- nann en A f ag da en e a bei ng e an o lich bleiben. Um die e Ve an o lichkei ge ech e den kÈonnen, leg de Ge e gebe dem A f aggebe eine A f ag da en-
e a bei ng al e an o liche S elle die P¯ich a f, den A f agnehme egelmÈaûig da en ch ech lich kon ollie en.8 Die Kon ollp¯ich im Rahmen de A f ag da- en e a bei ng be iff die d ch den A f agnehme m Sch de on ihm e a bei e- en pe onenbe ogenen Da en ge offenen echni chen nd o gani a o i chen Maûnahmen gem.§9 BDSG, m Bei piel Maûnahmen m Z i - nd Z gang ch fÈ RÈa me nd ode S eme, a f elchen pe onenbe ogene Da en e a bei e e den, Maûnahmen
1Col Technolog Se ice , He io aûe 4, 5 8 F ankf , be nd.jaege @col .ne F a nhofe SIT, Schlo Bi lingho en, 5 54 Sank A g in, eine .k af @ i .f a nhofe .de F a nhofe SIT, Rhein aûe 5, 4 95 Da m ad , annika. el e @ i .f a nhofe .de
4F a nhofe SIT, Rhein aûe 5, 4 95 Da m ad , l ich. aldmann@ i .f a nhofe .de
5De Bei ag en and im P ojek Ve iMe i , gefÈo de om BMBF im P og amm IKT ± Fo ch ng fÈ Inno a ionen, FÈo de kenn eichen: 1 KIS 5 K. Teile de Bei ag den dem on de E opÈai chen Union a dem E opÈai chen Fond fÈ egionale En ickl ng nd om Land He en ko®nan ie .
Im Rahmen de N ng on Clo d-Dien en i die de Clo d-N e . Im Rahmen de N ng on Clo d-Dien en i die de Clo d-Anbie e .
8Vgl.§11 Ab . Sa nd 4 B nde da en ch ge e ± k : BDSG.
5 5
Siche ell ng de Ve fÈgba kei pe onenbe ogene Da en nd Maûnahmen m Ein- gabe ch , die nach Èaglich Èbe p Èfba machen, ob nd on em pe onenbe ogene Da- en in Da en e a bei ng eme eingegeben, e Èande ode en fe n den. Eine ol- che Kon olle i jedoch im Clo d-Umfeld a fg nd de e eil en Rechnen nd de of g oûen geog aphi chen En fe n ngen p oblema i ch. [Bo1 ], [Se1 ]
Ein LÈo ng an a be eh in de An end ng on a oma i ch Èbe p Èfba en Da en ch - me iken, al o Kenn ahlen Be eil ng da en ch ele an e Eigen chaf en a f Ba i
on e a en È digen Me da en, mi elchen ich de Um e ng g ad on Da en- ch maûnahmen de Clo d-Anbie e kon in ie lich anhand on in e p e ie ba en In- dika o en Èbe p Èfen lÈa . Solche ÈUbe p Èf ngen kÈonn en o ohl den P Èf mfang de
echni chen nd o gani a o i chen Maûnahmen gem.§9 BDSG al a ch ei e e da en- ch ech lich ele an en Eigen chaf en ein chlieûen. In eine Umf age bei Èbe klei- nen nd mi le en Un e nehmen a dem Ge ndhei e en, de Rech be a ng nd dem Finan ek o9 e ie en ich neben de Kon olle de echni chen nd o gani a o i chen Maûnahmen ± hie in be onde e die Kon olle de Z g iff ch e ein chlieûlich de Ve chlÈ el ng pe onenbe ogene Da en o ie die Da en enn ng b . Mandan en en- n ng ± . a. die LÈo ch ng b . die Spe ng1 on Da en nach Beendig ng de Ve age mi dem Clo d-Anbie e o ie die Kon olle de lÈa igen Ve a bei ng ando e al
ich ige Inhal e fÈ a oma i ie e Da en ch kon ollen im Clo d-Umfeld.
A da en ch ech liche Sich i ± neben de Kon olle de echni chen nd o gani a- o i chen Maûnahmen ± die Kon olle de Ve a bei ng ando be onde bede am, da hie fÈ m Teil enge Vo gaben e i ie en. Eine Ve a bei ng pe onenbe ogene Da en d ch einen A f ag da en e a bei e i inne halb de E opÈai chen Wi chaf -
a me , k : EWR, 11da en ch ech lich p i ilegie nd nach Ab chl eine A f- ag da en e a bei ng e age nd de D chfÈh ng egelmÈaûige Kon ollen in de Regel lÈa ig. Die Z lÈa igkei de Ve a bei ng pe onenbe ogene Da en a ûe halb de EWR m hingegen anhand eine ei ®gen P Èf ng be e e e den: Z nÈach m die Ve a bei ng d ch eine ge e liche E la bni no m ode d ch die Ein illig ng alle Be offenen legi imie ein (e e Z lÈa igkei fe), odann m ± e a d ch mfang eiche Da en ch e Èage ode in e na ionale Da en ch abkommen ± iche ge- ell e den, da die pe onenbe ogenen Da en a ch a ûe halb de EWR a eichend ge chÈ e den ( ei e Z lÈa igkei fe).1 Die e Un e cheid ng geh a f den Um- and Èck, da pe onenbe ogene Da en inne halb de EWR einem hohen nd ei- e gehend einhei lichen Sch n e liegen, de ich a de Um e ng de E opÈai chen
9Vgl.http://www-wordpress.sit.fraunhofer.de/verimetrix/wp-content/uploads/sites/11/
2014/05/Verimetrix-Fragebogen.pdf
1 Die Spe ng i an die S elle eine LÈo ch ng, enn eine LÈo ch ng . B. ge e liche A fbe ah ng f i en en gegen ehen ode eine LÈo ch ng egen de be onde en A de Speiche ng nich ode n mi
n e hÈal ni mÈaûig hohem A f and mÈoglich i . Vgl.§§ Ab . , 5 Ab . BDSG
11De E opÈai che Wi chaf a m i eine F eihandel one i chen de E opÈai chen Union, I land, Liech en ein nd No egen.
1 Vgl. DÈ eldo fe K ei , Da enÈbe mi l ng in D i aa en e fo de P Èf ng in ei
S fenhttp://www.bfdi.bund.de/SharedDocs/Publikationen/Entschliessungssammlung/
DuesseldorferKreis/12092013DatenuebermittlungInDrittstaaten.pdf
Da en ch ich linie in den ein elnen S aa en e gib .1 Im Gegen a da n e cheiden ich die Da en ch eme ogenann e D i aa en ± al o S aa en a ûe halb de EWR
± eh a k. [Se14]
A fg nd de d chgÈangigen Vi ali ie ng de IT-S eme in den n e Um Èanden el - ei e eil en Rechen en en de Clo d-Anbie e bede e die eifel f eie Iden i®ka ion de Ve a bei ng ando eine hohe He a fo de ng fÈ die En ickl ng a oma i ie - e Da en ch kon ollen. In die em Bei ag i d ein LÈo ng o chlag fÈ die e A fgabe be ch ieben. Sch e p nk e ind dabei die Da ell ng de Me e fah en Ge inn ng alide S ando info ma ionen o ie die Ski e eine A chi ek modell fÈ die iche- e E heb ng, Ve a bei ng nd Speiche ng de Me da en. Ab chlieûend e den einige A pek e be ch ieben, die bei de Wei e en ickl ng de da ge ell en Ve fah en ei- nem mfa enden We k e g kon in ie lichen Be e ng de Da en ch q ali Èa on Clo d-Angebo en be Èck ich igen ind.
Ve and e A bei en
Die AG Rech ahmen de Technologiep og amm T ed Clo d ha ich in en i mi dem P oblem de Kon ollp¯ich beim Clo d-Comp ing a einande ge e nd chlÈag in ih em ech poli i chen The enpapie [Bo1 ] eine e einhei lich e Te a lÈo ng E - fÈll ng de Kon ollp¯ich o . In dem Papie i d die Mein ng e e en, da en ch - ech liche Kon ollen beim Clo d-Comp ing a fg nd de benÈo ig en echni chen nd ech lichen Spe ial i en on pe iell e i® ie en A di o en d chfÈh en la en, die fÈ die A di ie ng a ch haf en ollen. Z dem i d o ge chlagen, die Kon olle a f Ba i einhei liche , e opa ei gel ende P Èfk i e ien d ch fÈh en. In [Se1 ] nd [KNW1 ]
i d die e Vo chlag m eine a oma i ie e, kon in ie liche Da en ch kon olle a f Ba i iche e Log-Da en e ei e . Hie d ch i d e mÈoglich, Da en ch o fÈalle ei - nah e kennen nd a f die e eagie en.
Die En ickl ng on Me iken kon in ie lichen nd ei gehend a oma i ie en ÈUbe - p Èf ng de Einhal ng on Da en ch anfo de ngen, i eine A fgabe, die ich Èbe - iegend a f einem heo e i chen nd p ak i chen Ne land be eg . Vo handene An Èa e fÈ Da en ch me iken ± e a da Mi -Modell on Da id Cha m ode ande e Anon - mi Èa me iken ± ind a f da P oblem de Anon mi ie ng pe onenbe ogene Da en fo- k ie , haben al o keine mfa ende Sich a f den Da en ch nd den da Èbe hina bi lang n in ge ingem Umfang in de P a i ange ende . Daneben gib e e - ein el Ve che, Da en ch kenn ahlen fÈ o gani a o i che Sach e hal e e p oben, e a An ahl nd Bea bei ng da e on Da en ch anf agen nd - o fÈallen.14 Ei- ne Reihe an Vo chlÈagen gib e a ch Info ma ion iche hei kenn ahlen ( iehe da
. B. die P blika ionen [IS 9, CI1 , Ja , NI 8, So11]). In ofe n F age ell ngen de IT- nd Info ma ion iche hei be offen ind, kÈonnen die e a ch in Da en ch me iken
1 In De chland de die E opÈai che Da en ch ich linie . a. d ch en p echende Anpa ngen im BDSG mge e .
14Bei piele fÈ olche Kenn ahlen ®nden ich in de Telema ikinf a k de elek oni chen Ge ndhei ka e.
Siehehttp://www.gematik.de/.
5
ein¯ieûen. Allgemein an endba e Me iken ÈUbe p Èf ng nd Be e ng on Da en- ch eigen chaf en e i ie en alle ding noch nich .
Z da en ch f e ndlichen ÈUbe p Èf ng de Ve a bei ng ando kÈonnen die E eig- ni e nd Ope a ionen de be effenden i ellen Ma chinen (VM) anal ie e den.
Die VM-S ando e ind da bei piel ei e mi el A hen i ie ng de Rechen en en be immba [Ma11], a alle ding die ak i e Mi i k ng de Clo d-Anbie e no en- dig mach . VM-S ando e kÈonnen mi ande en Ve fah en a ch be eibe nabhÈangig be- immen e den. Bei piel ei e kÈonnen die N e on VM mi el ak i e Me ngen on Pake mla f ei en einem Ne e kkno en nd iede Èck ( Ro nd T ip Time , RTT) die i ellen Koo dina en on mgebenen Ne e kkno en nd dami die ela i en geog aphi chen Po i ionen nd Po i ion Èande ngen on Clo d-VM be immen. [Ri11]
Z Anal e on S ando da en kÈonnen e chiedenen Me da en ogenann en Finge - p in ammengefa nd mi a i i chen Tool ( . B. mi el P og ammie p ache R) nd ma chinellen Le n e fah en [Fl1 ] anal ie e den. Dabei e den ak ell geme - ene Finge p in mi o liegenden Refe en da en bekann e S ando e e glichen, ohne da alle Teilinfo ma ionen de Finge p in di ek e anden ode in e p e ie e den mÈ en. Solche he i i ch e mi el en Finge p in den be ei Iden i® ie ng on VM-S ando en einge e . [Ri 9], gl. a ch [JSW15]
Me iken nd Me p nk e
Z En ickl ng a agek Èaf ige nd eali i che Da en ch me iken ind die e - nÈach a den da en ch ech lichen Anfo de ngen ab lei en. Im An chl an die- e Top-Do n-Be ach ng i bo om- p p Èfen, elche Da enq ellen Ve fÈg ng ehen, m die e Me iken befÈllen. Da a f a fba end ind ab chlieûend die Be ech- n ng e fah en de Me iken be ch eiben. [JSW15]
.1 Top-Do n-Ablei ng de Me iken
Im e en Sch i En ickl ng on Me iken geh e da m, die be ehenden ech li- chen Anfo de ngen iden i® ie en nd die en pa ende Me iken ®nden. [LH15]
Rech liche Anfo de ngen e geben ich . a. a dem B nde da en ch ge e , o bei- piel ei e ge egel i , da eine p i ilegie e A f ag da en e a bei ng, bei de keine ge e liche E la bni no m ode die Ein illig ng de Be offenen benÈo ig i d, geog a- phi ch a f den EWR be ch Èank i .15 Eine ÈUbe mi l ng pe onenbe ogene Da en an Clo d-Anbie e a ûe halb de EWR n e lieg demgegenÈbe ie oben be ch ieben ei-
e en Anfo de ngen.
Um die be ch iebene ech liche Anfo de ng konk e i ie en, benÈo ig e eine Da el- l ng de Maûnahmen, mi denen ie e fÈll e den kÈonnen. Im Falle de geog aphi chen Be ch Èank ng de A f ag da en e a bei ng p i ileg Èa e eine olche Maûnahme . B.,
15Vgl.§11 BDSG i. V. m.§ Ab . 8 Sa , Ab . 4 BDSG.
die Da en e a bei ng pe onenbe ogene Da en a ûe halb de EWR n e binden. A die en Maûnahmen e gib ich iede m da ogenann e Kon k , da eine ab ak e, nich di ek me ba e Be ch eib ng de Me iel ± . B. die Kenn ni alle Ve a bei- ng ando e ± da ell . [LH15] Un e Be Èck ich ig ng die e An a e lÈa ich . B.
die folgende Me ik de®nie en:
P o en ahl lÈa ige S ando e (P S)=An ahl lÈa ige S ando e Ge am an ahl de S ando e⇥1
In die oben angefÈh e S ando me ik ¯ieûen in doppel e Wei e k nden pe i® che An- fo de ngen ein: Z m einen be immen die e, ann ein S ando al lÈa ig gil , m ande en legen ie a ch fe , ie gena die S ando be imm ng e folgen m , m Ve le - ngen de Da en ch anfo de ngen eine K nden mi ela i hohe Wah cheinlichkei e kennen kÈonnen.
ÈUbliche K ndenanfo de ngen kÈonnen bei piel ei e ein, da ich Da en n inne - halb De chland , de EWR ode eine Lande , da nach Ein chÈa ng de E opÈai chen Kommi ion ein e gleichba e Da en ch ni ea bie e , be®nden dÈ fen. Wiede ande e K nden e la ben da Èbe hina a ch eine Da en e a bei ng in o genann en D i aa- en1 , olange ein e gleichba e Da en ch ni ea d ch en p echende Ve Èage ode in e na ionale Abkommen1 iche ge ell i . Im E emfall i eine Ve a bei ng bei ei- nem e e nen Clo d-Anbie e ± enn Èbe ha p ± n in einem Èa mlich eng fe ge- leg en nd o ohl ph i ch al a ch ne echni ch om Èb igen Teil de Rechen en m abge enn en Be eich lÈa ig.
Die e Bei piele machen de lich, da die Ve fah en S ando e mi l ng meh e e S - fen nd Ka ego ien bedÈ fen, m den e chiedenen A en an S ando anfo de ngen ge- ech e den. Neben de egionalen Ve o ng i a ch de Be eibe de Rechen en- m be immen, da al O de Da en e a bei ng e mi el de. Da bei hohen An- fo de ngen jegliche S ando ech el a ge chlo en ein kann, m fe ne ein olche Wech el mi hohe Wah cheinlichkei de ek ie e den kÈonnen.
. Bo om-Up-Be imm ng de Da enq ellen
In die em Sch i geh e da m, in de Inf a k eine Clo d-Dien e a agek Èaf ige Da enq ellen nd da a abgelei e e Indika o en nd Me e fah en ®nden, anhand de e die Top-Do n abgelei e en Me iken nd dami de Um e ng g ad de Da en- ch anfo de ngen be echne e den kÈonnen. Bei de A ahl die e Da enq ellen nd Me e fah en i da a f ach en, da ie ich nich n f nk ional eignen nd e a - en È dige Da en liefe n, onde n a ch a Èachlich ein e ba ind ± hie fÈ kann e ech- ni che, o gani a o i che nd ech liche Ba ie en geben. Bei piel ei e kann die N ng eine Da enq elle ich e bie en, eil ie da en ch ech lich bedenklich i , ode abe
1 Al D i aa en e den im Da en ch ech diejenigen S aa en be eichne , die nich dem EWR angehÈo en.
1 Hie Èahlen . a. die EU-S anda d e ag kla eln, Binding-Co po a e-R le nd da Safe Ha bo Abkom- men.
5 9
an de mangelnden Ak ep an eine Clo d-Anbie e chei e n, de S Èo ngen in eine Clo d-Inf a k befÈ ch e .
Da Bo om-Up-Vo gehen Iden i®ka ion on Indika o en nd Me e fah en nd de en Z o dn ng den op-do n fo m lie en Me iken oll nachfolgend am Bei piel de oben genann en Me ik m S ando de Da en e a bei ng e an cha lich e den. Die e Me-
ik e fo de kon eq en e ei e eine kon in ie liche Me ng de Ve a bei ng ando de Da en eine Clo d-N e , m die Wah cheinlichkei e hÈohen, elb ei eili- ge Ve Èoûe gegen de en Vo gaben en decken. Die bede e im Clo d-Umfeld, da in be onde e de ph i che S ando de Ho iden i® ie e den m , a f dem die i -
ellen Ma chinen (VM), elche die N e da en e a bei en, ge a e den. Die e ph i che S ando de VM i be onde in e e an , eil mi dem he igen S and de Technik a Da en a f dem T an po eg ode im dem Momen , da ie a f de i el- len Fe pla e ge peiche e den, e chlÈ el e den kÈonnen, Ve a bei ng d ch den i ellen P o e o de VM jedoch im Kla e o liegen mÈ en. Am ph i chen S ando de VM be eh al o ein e hÈoh e Ri iko, da a f en ible Da en nbe ech ig
geg iffen i d.
Da die fÈ Clo d-An end ngen cha ak e i i che Vi ali ie ng eine einde ige Iden i®- ie ng de ph i chen S ando igni®kan e ch e , i eine Meh ahl an Indika o en nd Me e fah en e fo de lich, m die en mi eine minde eh hohen Wah chein- lichkei be immen kÈonnen. Die e Viel ahl e hÈoh da Èbe hina a ch die Manip la i- on iche hei nd Z e lÈa igkei de Me ngen. Z m einen i d e o fÈ einen Clo d- Anbie e a f Èandige nd dami na ak i , die Da enba i in ih e Ge am hei ma- nip lie en, m ande en kann o de A fall eine Me e fah en leich e kompen ie
e den.
Eine e en liche Lei idee bei einem G oû eil die e Me e fah en i e , p Èfen, ob die e mi el en Info ma ionen Umgeb ng de i ellen Ma chinen mi bekann en nd in eine Da enbank einge agenen M e n Èbe ein immen, die fÈ einen be imm en S ando cha ak e i i ch ind. Die e M e bilden einen ogenann en Finge p in eine S ando .18Um den Finge p in mi de VM e knÈpfen, e den die Me p og am- me ( Agen en ) inne halb de gleichen VM ge a e , a f de a ch eg lÈa e An end ngen N e da en e a bei en e den (Da en e a bei ng -VM). Um Me ngen, die nich a eine VM elb he a d chgefÈh e den, mi die e e knÈpfen, kann eine e e ne Me in an . B. eine einde ige Agen en-ID abf agen (e a d ch einen Ne e k-T ace on a ûen mi ÈUbe ag ng de Agen en-ID). Eine Ve knÈpf ng kann abe a ch indi ek Èbe geeigne e Umgeb ng pa ame e , die de VM nd de e e nen Me -In an bekann
ind, he ge ell e den.
Geeigne e Umgeb ng pa ame e Z ammen ell ng on Finge p in ind in e chie- denen Be eichen pi che Clo d-Pla fo men ®nden nd kÈonnen inne halb nd a ûe - halb de Inf a k de Clo d-Anbie e ange iedel ein. E ind o ohl ak i e Me - ngen mi Diagno e e k e gen (Sec i Scanne n e c.) al a ch pa i e Me ngen
18Bei die en handel e ich alle ding nich m k p og aphi che Ha h e e, elb enn ie eine Èahnliche F nk ion haben ie die Finge p in , die fÈ die Ve i®ka ion k p og aphi che SchlÈ el e ende e den.
( . B. on o handenen Da en Èomen mi Hilfe eine Sniffe ) mÈoglich. Die Be eiche de i ellen Ma chinen nd de VM-Managemen mi de da n e liegenden Ha d a- e bie en in ih en Implemen ie ng de ail hilf eiche Anhal p nk e fÈ eine Be imm ng de Ve a bei ng o e , in o ei de Clo d-Anbie e den Z g iff a f olche Da en lÈa . MÈogliche Me ngen im Be eich de Inf a k eine Rechen en m be effen a ch die nich -Èoffen lichen Schni ellen nd Èa liche on a ûen nich ich ba e Info ma io- nen, die a ge iel en Abf agen on . a. Managemen -Schni ellen, in e nen S i che
nd Ne e kkomponen en ge onnen e den kÈonnen. MÈogliche Me da en, die al Pa a- me e in die Be echn ng eine Finge p in ein¯ieûen kÈonnen, ind . a. a ch IP-Ad e en, Pake la f ei en nd Pake o en o ie Sof a e-Ve ionen on Ge Èa e eibe n, Vi ali- ie ng komponen en ode de en Managemen -Schni ellen (in o ei e fÈgba ). Bei- piel ei e kann in einigen FÈallen a eine geme enen IP-Ad e e pe Re e e DNS Look p de Ho name eine Clo d-Anbie e -Ne e kdien in an e mi el nd al In- dika o fÈ die globale Region Me ikenen ickl ng he ange ogen e den. [JSW15]
Die Me da en e den on eine e e nen Komponen e a ge e e nd cha ak e i i- chen Finge p in ammenge ell mi dem Ziel, ie be imm en Regionen nd S and- o en o dnen nd al Indika o en fÈ die S ando me ik in e p e ie en. I de S ando eine Finge p in mi hohe Wah cheinlichkei be imm , kann e in Fo m on Refe en da en S ando be imm ng ande e Finge p in gela en e den.
. Be ch eib ng de Be echn ng e fah en
Da Z ammen i ken de e chiedenen Ein elindika o en in eine Me ik i d mi Hilfe eine ogenann en anal i chen Modell be ch ieben. Die e Modell liefe die Be ech- n ng o ch if fÈ die Me ik nd d Èck a , elche Rele an jede ein elne Me e - fah en fÈ die App o ima ion eine be ach e en Kon k ha . Dami leg e a ch fe , ie a agek Èaf ig die Me ik in ge am i . Nachfolgend i d ein olche Modell fÈ die angefÈh e S ando -Me ik be ch ieben, gl. Bei ag [LH15] im Rahmen die e Wo k-
hop .
Die e Me ik e gib ich (logi che ei e) al F nk ion de Ein elbe e ngen den in - ge am be ach e en S ando en. FÈ die P Èf ng de Z lÈa igkei eine ein elnen S and- o kÈonnen die folgenden, mi Me in men en inne halb nd a ûe halb de i ellen Inf a k de Clo d-K nden (b . de Clo d-Anbie e ) ge onnenen Indika o en die- nen:19
• Ind-1: mi hilfe on DNS-Anf agen nd de Abf age on S ando da enbanken e - mi el e S ando e Èoffen liche Se e ,
• Ind- : mi hilfe on T ace o e-Abf agen, die inne halb de VM abge e den, e mi el e Kno enp nk e nd Ziel ando e on Da enpake en,
19Die genann en Indika o en nd Me me hoden ollen da Ve fah en e an cha lichen. FÈ die S ando be im- m ng kÈonnen ahl eiche ei e e Indika o en nd Me e fah en inn oll ein.
5 1
• Ind- : mi hilfe on ping-Anf agen, die a ûe halb de VM abge e den, e mi - el e Ziel ando e on Da enpake en,
• Ind-4: mi hilfe eine Ne e k-Sniffe ammenge ell e Info ma ionen Èbe die Ge Èa e in de Umgeb ng eine i ellen Ma chine,
• Ind-5: mi hilfe pe iali ie e De ec ion-Tool ammenge ell e Info ma ionen Èbe die e ende e Vi ali ie ng of a e.
FÈ die Be imm ng de S ando eine i ellen Ma chine e den die e Indika o en in ei n e chiedliche Anal e e fah en g ppie : Z m einen in olche, die ich a f ei- ne di ek en Me ng de S ando È en (Ind-1, Ind- nd Ind- ), m ande en in ol- che, bei denen ein S ando indi ek mi hilfe eine Finge p in -Da enbank nd a i i chen Kla i®ka ion e fah en1 be imm i d (Ind-4 nd Ind-5). Alle Ve fah en n e È en
nÈach einmal die S ando iden i®ka ion. FÈ die Z lÈa igkei de gef ndenen S ando i die e , ie oben be ch ieben, Èa lich noch an den k nden pe i® chen Anfo de n- gen piegeln.
Je g Èoûe die ÈUbe ein imm ng de E gebni e a Di ek me ngen nd Finge p in - Ve gleichen i , de o einde ige i a ch die S ando be imm ng. Im Idealfall ± po i i e E gebni e bei allen Ein elindika o en ± kann de S ando mi eine hohen Wah chein- lichkei ko ek be imm e den nd ha a ch die da a abgelei e e Be e ng eine Z lÈa igkei einen hohen G ad an Pla ibili Èa . Umgekeh gil die a ch, enn alle Ein-
elindika o en da a f hin ei en, da de S ando eine Vi ellen Ma chine n n ei- chend be imm e den kann.
Sch ie ige fÈall eine olche Fe leg ng imme dann, enn die Ein elindika o en n e - chiedliche E gebni e liefe n. Sind die E gebni e a de Di ek me ng nega i , kann mi eh hohe Wah cheinlichkei ein ko ek be imm e S ando e m e e den. I hingegen de Finge p in -Ve gleich nega i , kann bei gleich ei igem po i i en Bef nd a den Di ek me ngen de Kon®den e de e ende en Kla i®ka ion e fah en ei- ne En cheid ng n e È en.
Ideale ei e ind die Be echn ng e fah en S ando be imm ng o offen ge al e , da ÈAnde ngen in den fÈ einen S ando cha ak e i i chen Angaben nmi elba nach- oll ogen e den kÈonnen. Da Èbe hina oll en ie ¯e ibel an ne e Ve fah en ( . B.
einen be e en Algo i hm m Finge p in -Ve gleich) angepa e den kÈonnen.
4 A chi ek
An ende de Ve iMe i -S em ind in be onde e Clo d-K nden, die kon in ie lich p Èfen mÈoch en, ob nd in ie ei ih e Da en ch anfo de ngen ak ell e fÈll e den.
. B. Scoop
1S a i ik e k e ge ie R ode SPSS bie en hie fÈ ein b ei e Spek m an Me hoden an.
Die e We , ein Maû fÈ die Ve a en È digkei eine A age, i d Èbliche ei e on den a i i chen We k e gen geliefe
Eine A chi ek Me ng de Ve a bei ng ando oll e die be Èck ich igen nd fe ne , da de Clo d-Anbie e nd de Clo d-K nde in Be g a f die Me ngen n- e chiedliche In e e en haben kÈonnen. De Be eibe ha n ge inge In e e e, nbe- a bei e e Me da en a eine Clo d-Inf a k an e e ne a e ende Komponen en Èbe agen, nd fÈ ch e de en nkon ollie e Ve b ei ng. Z dem kÈonn e e da an in- e e ie ein, k i i che Da en a ®l e n ode ga manip lie en. De Clo d-K nde mÈoch en n e fÈal ch e Info ma ionen Èbe die bea f ag e Da en e a bei ng e hal en, abe n e pe i® che Da en mÈoglich nich mi ande en K nden de Clo d-Be eibe
eilen.
Abbild ng 1 eig die ich ig en Komponen en de Ve iMe i -S em , link die Kom- ponen en a f Sei en de Clo d-Be eibe . Die e be eib k nden pe i® che VM , in de- nen die eigen liche Da en e a bei ng a ®nde . Me da en ogenann e Refe en -VM (link n en), de en S ando e bekann ind, dienen dem Ve iMe i -S em m Ve gleich mi ak ellen Me da en de K nden-VM . In de Mi e nd ech eig die Abbild ng ei- nige Komponen en de K nden nd ggf. a ch eine nabhÈangigen Ve iMe i -Be eibe , de mi de E fa ng nd A e ng on Me da en bea f ag e den kÈonn e ( T - a -a-Se ice ). A f Sei en de Clo d-Be eibe ind in den K nden-VM nd Refe en - VM be eibe nabhÈangige Me mod le in eg ie , elche die in Kapi el . be ch iebe- nen Umgeb ng pa ame e me en. Die en ale Komponen e Be echn ng de Me i- ken i de Kollek o in de Mi e de Bilde . E n e hÈal ei e e Me mod le, die a ûe - halb de Inf a k de Clo d-Anbie e S ando pa ame e e fa en kÈonnen nd g eif
Be echn ng de Me iken a f eine Refe en da enbank , die egelmÈaûig ak ali ie nd e ei e i d. De Kollek o bie e eine Schni elle fÈ A di o en, die . B. E geb- ni e a o -O -P Èf ngen man ell ein agen kÈonnen, nd Schni elle fÈ den K nden
nd eine An end ngen.
Abb. 1: Ve iMe i -A chi ek
5
Ein Ziel die e Ve iMe i -S em i , m maûliche ode a Èachliche Ve Èoûe gegen Da en ch anfo de ngen, e a n lÈa ige ÈAnde ngen de Ve a bei ng ando , - e lÈa ig e kennen nd a eichend belegen kÈonnen. Die MÈoglichkei Kon®g - a ion en p echende Meld ngen nd Ein ich name in die eine Meld ng g nde liegende Da enba i ind dahe ich ige Fea e de N e chni elle. Eine Admi- ni a ion chni elle a f Sei en de A di o kon®g ie nd e e die Ve iMe i - Me mod le, bei piel ei e den Umfang nd die HÈa ®gkei on Me ngen.
Die F age, ob nd ie die Me da en ge chÈ e den mÈ en, be iff nich n den Da- en ch , onde n a ch die allgemeine IT-Siche hei , da bekann ge o dene VM-S and- o da en a ch al G ndlage fÈ Ang iffe dienen kÈonnen.4 [BS14] Wenn bei piel ei e Umgeb ng info ma ionen be imm e VM in die Hand on Ang eife n ®elen, kÈonn en die e Ang iff -VM mi hÈohe e E folg a ich in de elben Umgeb ng a en. [Ri 9]
Die A chi ek ieh dahe Siche hei komponen en o , elche die VM- pe i® chen Me da en in ein ge iche e Fo ma Èbe fÈh en. In de po en iell n iche en Umgeb ng de Clo d-Anbie e e da in Abbild ng 1 ge eig e Siche hei mod l ein k p og a- phi che Ve fah en ein, mi dem die A hen i i Èa , In eg i Èa nd Ve a lichkei de Me - da en ge chÈ e den. [KNW1 ]
Die Me da en e den a f Ba i eine on Schneie nd Kel e de®nie en Ve fah en ge iche , da Fo a d In eg i elb in Umgeb ngen e mÈoglich , denen nich o behal - lo e a i d [SK99]. Un e die e Vo a e ng kÈonnen die Da en de Ve iMe i - Da en peiche iede m beim Clo d-Be eibe ge peiche e den, ohne da de Clo d- Be eibe die e le en ode e Èande n kann. Da Ve fah en ieh o , da jede ne e Me - e mi dem o igen Ein ag Èbe Ve chlÈ el ng, Ha h-We e nd P Èf mmen e - ke e nd in eine ak elle Me da ei ge ch ieben i d. Jede In eg i Èa mod l handel mi dem Ve iMe i -SchlÈ el peiche fÈ jede ne e Me da enda ei ei mme i che S a chlÈ el a . Da Siche hei mod l lei e da a b . a den Nachfolge chlÈ eln in jede R nde fÈ den ak ell e ellenden Me da enein ag ei mme i che A - bei chlÈ el fÈ den e ellenden Ein ag ab: D ch Ha hen de o igen A bei - chlÈ el ammen mi den Z g iff ech en fÈ den ne en Ein ag e den da a ein in- di id elle SchlÈ el Ve chlÈ el ng de o iginÈa en Me da en nd ein SchlÈ el Be echn ng eine P Èf mme e e g . Nach jede Ve end ng nd dem E e gen ne - e A bei chlÈ el e den im Siche hei mod l die al en SchlÈ el gelÈo ch . Die S a - chlÈ el ellen die Siche hei anke jede ge iche en Da ei da nd e la en niemal den SchlÈ el peiche . Die A bei chlÈ el ge iche e Ein Èage ind ni gend o ge pei- che nd kÈonnen a chlieûlich im SchlÈ el peiche a den S a chlÈ eln nd den kodie en Z g iff ech en ekon ie e den. De SchlÈ el peiche ende a f Anf a- ge die e A bei chlÈ el an a o i ie e e e ne In an en ( . B. an einen A di o ), dami die e die Me da en e i® ie en, en chlÈ eln nd a e en kÈonnen.
A e be e b ech liche Sich i bei de Ve fÈg ng S ell ng de Kon olle gebni e da a f ach en, SchmÈahk i ik nd nich be ei k Èaf ig nach ei ba e Ta achenbeha p ngen n e la en, keine offen ich - lich n ich igen E gebni e e Èoffen lichen o ie offen legen, enn eine Be e ng a chlieûlich a f den Angaben eine Clo d-Anbie e be h . Vgl. analog da Ri e Spo -U eil de Obe lande ge ich MÈnchen
om 9. 9. 14.
4Vgl. BSI: IT-G nd ch -Ka aloge, GefÈah d ng G 4.9 Unge oll e P ei gabe on Info ma ionen d ch Clo d Ca og aph .
De Be eibe de Ve iMe i -S em kÈonn e den SchlÈ el peiche iede m in eine Clo d a lage n, oga m be effenden Clo d-Be eibe elb ± bei piel ei e in Fo m eine HSM-Dien e , de nich om Clo d-Be eibe , onde n n om K nden (ode on einem T e hÈande ) kon®g ie ba i . 5
5 Reak ion a f n ech mÈaûige S ando e
Soll e da E gebni de Me ikenme ng A ffÈalligkei en a fdecken, o m de Clo d- N e ± al e an o liche S elle de A f ag da en e a bei ng ± da Me e gebni j - i i ch in e p e ie en nd dem konk e en Ve oû en p echend eagie en. Hie fÈ oll e e nÈach den Sch e eg ad de fe ge ell en Da en ch e oûe anhand de o - liegenden Ein elfall be e en. K i e ien hie ind . a. de Sch beda f pe onen- be ogene Da en, de den Be offenen d ohende Schaden, die Um Èande de Ve oûe
nd die Ge am hei de ge offenen Siche hei maûnahmen. [KSS15] Je nach E gebni de Sch e eg ad-Be e ng kommen n e chiedliche Reak ionen a f einen fe ge ell-
en Da en ch e oû in Be ach . Un e Be Èck ich ig ng alle K i e ien de Ein elfall kommen nÈach die A ffo de ng n e Èglichen Be ei ig ng de Ve oûe o ie die Kon olle eine Be ei ig ng in Be ach . Bi Be ei ig ng de Ve oûe oll en nach MÈoglichkei keine ei e en pe onenbe ogenen Da en an den Clo d-Anbie e ei- e gegeben e den. Bei e heblichen Ve Èoûen ode enn de Clo d-Anbie e den Mangel nich be ei ig , oll e de Clo d-N e den Ve ag kÈndigen.
Z minde bei Clo d-Speiche dien en be ehen fÈ den Clo d-N e ei e e MÈoglich- kei en, ak i a f einen e heblichen Ve oû eagie en: Da da He n e laden nd da LÈo chen on o ge peiche en Da en m pi chen F nk ion mfang die e A on Clo d-Dien en gehÈo , i e dem Clo d-N e mÈoglich, die Da en beim Clo d-Anbie e e a lo lÈo chen, a f eigene S eme mig ie en nd danach beim Clo d-Anbie e
lÈo chen ode einem ande en Clo d-Anbie e mig ie en. [KSS15]
A blick
Wie eingang e Èahn , ind An ende , die pe onenbe ogene Da en in de Clo d pei- che n ode e a bei en, da e p¯ich e , die Ve fah en ablÈa fe nd echni chen Siche - hei maûnahmen ih e Clo d-Anbie e egelmÈaûig kon ollie en, m die Einhal ng gel ende da en ch ech liche Anfo de ngen iche ellen. In die em Bei ag - den Ve fah en nd eine S ema chi ek o ge ell , mi denen ein ich ige Teila pek die e A fgabe a oma i ie e fÈll e den kann, nÈamlich die ÈUbe p Èf ng de Z lÈa ig- kei de Ve a bei ng ando e de Da en. G nd Èa lich i hie fÈ eine Viel ahl an Me - e fah en mÈoglich. Mi hilfe p ak i che Te i d in de Folge im Rahmen de hie da ge- ell en P ojek Ve iMe i e p ob , elche Kombina ion de o ehend ki ie en Ve - fah en in be onde em Maûe geeigne i , Ve a bei ng ando e mi einem hohen G ad
5De a ige F nk ionali Èa bie e a ch de AWS Clo dHSM-Se ice:https://aws.amazon.com/de/cloudhsm In allen d ei FÈallen empfehlen ich e agliche Ve einba ngen mi dem Clo d-Anbie e Èbe die LÈo ch ng
on Back p .
5 5
an Z e lÈa igkei nd Manip la ion iche hei be immen. In die em Z ammenhang ind nich n die Sch ell e e be immen, ab denen A agen S ando en hin ei- chend pla ibel ind, onde n i a ch a f eine mÈoglich b ei e nd langf i ige An end- ba kei de Me e fah en ach en, al o da a f, da ie p o ide Èbe g eifend f nk io- nie en nd ¯e ibel an ne a ige echni che Gegebenhei en angepa e den kÈonnen.
FÈ eine mfa ende Kon olle nd Be e ng de Da en ch q ali Èa eine Clo d-Dien - e ind ei e e Indika o en nd Kenn ahlen e fo de lich, e a olche Da en enn ng, m Z g iff ch ode a ch Voll Èandigkei de Da enlÈo ch ng nach Beendig ng de Ben ng eine Dien e . A ch hie fÈ la en ich ich ige Kenn ahlen a oma i- ie e heben, bei piel ei e kann mi hilfe on Wa e eichen die Q ali Èa de ange en- de en LÈo ch e fah en ge e e e den. A oma i ie e Kon ollen e la ben in be onde e eine ei nahe Reak ion a f da en ch ele an e E eigni e bei einem Clo d-Anbie e . In be onde e fÈ die Be e ng de o gani a o i chen nd p o ed alen Siche hei o - keh ngen eine Clo d-Anbie e ind a ch Indika o en e fo de lich, die en ede n
eila oma i ie ode n hÈandi ch in nabhÈangigen A di e hoben e den kÈonnen.
A oma i ie e hobene nd a f ande en Wegen e mi el e Kenn ahlen ammengenom- men kÈonnen, bei geeigne e Ve einhei lich ng nd S anda di ie ng G ndlagen chaf- fen fÈ eine hÈohe e T an pa en nd Ve gleichba kei de Da en ch q ali Èa on Clo d- Anbie e nd dami Hemm ch ellen fÈ die Ben ng on Clo d-Dien en be ei igen.
Li e a e eichni
[Bo1 ] Bo ge , G. e al.: Da en ch ech liche LÈo ngen fÈ Clo d Comp ing. Kompe en - en m T ed Clo d, Oc 1 .
[BS14] BSI: IT-G nd ch -Ka aloge: 14. E gÈan ng liefe ng S and 14. Be ich , B nde - am fÈ Siche hei in de Info ma ion echnik, 14.
[CI1 ] CIS: The CIS Sec i Me ic . The Cen e fo In e ne Sec i (H g.), 1 . [Fl1 ] Flach, P.: Machine Lea ning: The A and Science of Algo i hm ha Make Sen e of
Da a. Camb idge Uni e i P e , 1 .
[IS 9] ISO: ISO 4: 9, Info ma ion Sec i Managemen ± Mea emen . In e na ional O gani a ion of S anda di a ion (H g.), 9.
[Ja ] Jaq i h, A.: Sec i Me ic : Replacing Fea , Unce ain , and Do b . .
[JSW15] JÈage , B. Sel e , A. Waldmann, U.: Die a oma i ie e Me ng on Clo d- Ve a bei ng ando en. Da en ch nd Da en iche hei ± D D, 1: ± , 15.
[KNW1 ] K n , T. Nieh e , P. Waldmann, U.: Techni che Un e È ng on A di bei Clo d- Be eibe n. Da en ch nd Da en iche hei ± D D, (8):5 1±5 5, 1 .
[KSS15] K n , T. Sel e , A. S eine , S.: Kon eq en en fe ge ell e Ve Èoûe bei de A f ag - da en e a bei ng kon olle. Da en ch nd Da en iche hei ± D D, 1: 1± 5, 15.
[LH15] L hn, S. Hil , M.: Ein Rahmen e k fÈ Da en ch -Me iken in de Clo d. In (Do - gla C nningham, Pe a Hof ed , Kla Mee Ingo Schmi , H g.): INFORMATIK
15, Lec e No e in Info ma ic (LNI). Ge ell chaf fÈ Info ma ik, 15.
[Ma11] Ma one , P. Naq i, S. Pon a d, C. La anicki, J. Roch e ge , B. Villa i, M.: A Mo- ni o ing and A di Logging A chi ec e fo Da a Loca ion Compliance in Fede a ed Clo d Inf a c e . In: Pa allel and Di ib ed P oce ing Wo k hop and Phd Fo-
m (IPDPSW), 11 IEEE In e na ional S mpo i m on. S. 151 ±151 , ma 11.
[NI 8] NIST: NIST 8 -55: Pe fo mance Mea emen G ide fo Info ma ion Sec i . Na io- nal In i e of S anda d and Technolog (H g.), 8.
[Ri 9] Ri enpa , T. T ome , E. Shacham, H. Sa age, S.: He , o , ge off of m clo d:
e plo ing info ma ion leakage in hi d-pa comp e clo d . In: P oceeding of he 1 h ACM confe ence on Comp e and comm nica ion ec i . CCS 9, ACM, Ne Yo k, NY, USA, S. 199± 1 , 9.
[Ri11] Rie , T. e al.: Ve i®ca ion of da a loca ion in clo d ne o king. In: Fo h IEEE In e - na ional Confe ence on U ili and Clo d Comp ing, S. 4 9±444, 11.
[Se1 ] Sel e , A.: Die Kon ollp¯ich nach§11 Ab . Sa 4 BDSG im Zei al e de Clo d Comp ing ± Al e na i en Vo -O -Kon olle de A f agnehme d ch den A f-
aggebe . Da en ch nd Da en iche hei ± D D, 4: 15± 19, 1 .
[Se14] Sel e , A.: Da en ch bei in e na ionalen Clo d Comp ing Se ice . Da en ch nd Da en iche hei ± D D, 8( ):4 ±4 4, 14.
[SK99] Schneie , B. Kel e , J.: Sec e a di log o ppo comp e fo en ic . ACM T an ac- ion on Info ma ion and S em Sec i (TISSEC), ( ):159±1 , 1999.
[So11] So a, A.: Me iken, de SchlÈ el m e folg eichen Sec i nd Compliance Moni o- ing. 11.
5
